Security Week 2407: о (без)опасности умных зубных щеток

Security Week 2407: о (без)опасности умных зубных щеток
В потоке новостей по информационной безопасности редко, но регулярно появляются либо просто странные, либо полностью выдуманные «исследования». На прошлой неделе широко обсуждался (в том числе на Хабре ) совсем уж выдающийся пример воображаемой угрозы. Все началось с публикации в швейцарской газете Aargauer Zeitung еще в конце января. Со ссылкой на компанию Fortinet там рассказывалось о некоем ботнете из умных зубных щеток, который был использован для проведения успешной DDoS-атаки на неназванную компанию в Швейцарии.


На прошлой неделе статья была перепечатана во множестве СМИ по всему миру. Немедленно последовали и опровержения: и традиционные , с запросом комментариев у всех участников «креатива», и нестандартные. Компания Malwarebytes опубликовала статью с длинным заголовком «Как определить, что ваша зубная щетка используется в DDoS-атаке» и кратким содержанием «Нет, не используется». Эта безусловная небылица, впрочем, напоминает нам сразу про две регулярные темы в сфере ИБ: о критической небезопасности IoT-устройств (но не этих!) и о бессмысленной и беспощадной моде на подключение к Wi-Fi приборов, которые этого совершенно не требуют.

Для начала давайте разберемся, почему умные зубные щетки нельзя подключить к ботнету. Конкретная модель щеток, якобы попавших в ботнет, в статье не указывается. Вообще, единственная конкретная деталь, которая упоминается в статье, — что уязвимое ПО якобы написано на Java. В качестве иллюстрации для статьи на сайте Aargauer Zeitung используются щетки Oral-B IO, так что можно рассмотреть вопрос на их примере.


С помощью приложения на смартфоне они предлагают отслеживать качество чистки зубов. На сайте производителя прямо говорится о том, что к смартфону щетки подключаются по Bluetooth. И нет, Bluetooth-устройства нельзя собрать в миллионный ботнет для проведения DDoS-атак. Существуют ли зубные щетки, напрямую подключенные к Интернету через Wi-Fi? Продаются ли они миллионными тиражами? Можно ли их взломать и построить из них ботнет?

В том, что рано или поздно умные щетки с Wi-Fi появятся, никто особо и не сомневался. Как раз недавно, на CES 2024, было продемонстрировано такое устройство. Помимо прочего, оно снабжено «голосовым ИИ-помощником». Вполне возможно, что такие устройства могут быть уязвимы, как это уже было показано десятки раз. Проблема статьи в швейцарской газете не в невозможности данного сценария. Результаты исследований так не публикуются. Нужно показать хоть какие-то факты, которые могут быть проверены. Даже в случае серьезных уязвимостей, подробности о которых не раскрываются полностью, мы знаем модель устройства или название программы и даже конкретный уязвимый элемент. Здесь же ничего этого не было.

В комментарии изданию Bleeping Computer представители Fortinet сообщили, что произошло недопонимание, возникли трудности перевода. Гипотетическая ситуация была воспринята журналистами как реальность. Ситуацию прокомментировали и в редакции газеты. Там сообщили, что Fortinet видела текст статьи до публикации и имела возможность возразить, если их слова восприняли неправильно. Но не стала это делать.

C Fortinet на прошлой неделе связана и еще одна ИБ-новость, на сей раз настоящая. В решении для мониторинга сетевой и прочей активности FortiSIEM были закрыты две серьезные уязвимости. Обе проблемы (CVE-2024-23108 и CVE-2024-23109) приводят к выполнению произвольного кода. Также на прошлой неделе американское госагентство CISA добавило другую серьезную проблему в FortiOS в список активно эксплуатируемых. По данным СМИ, уязвимости в решениях компании, в том числе в VPN-сервере, были использованы в ряде успешных и масштабных кибератак.

Что еще произошло

В Канаде планируют запретить продажи устройств Flipper Zero и «подобных ему» для борьбы с эпидемией угонов автомобилей. В подробном обзоре реальных возможностей Flipper Zero издание Ars Technica отмечает , что с его помощью нельзя провести распространенную атаку, когда сигнал от брелка автомобиля с системой бесключевого входа усиливается и позволяет разблокировать систему сигнализации. Равно как не получится взломать радиобрелки с переменным ключом. Возможность взломать что-либо с помощью Flipper Zero скорее говорит о низком уровне защищенности подверженных устройств и систем, а не об опасности инструмента.

История прошлой недели об уязвимостях в VPN-сервере Ivanti получила продолжение. Свежая уязвимость CVE-2024-22024 позволяет обойти систему аутентификации. Ее достаточно просто эксплуатировать. Хорошие новости в том, что, по данным производителя и в отличие от предыдущих проблем в Ivanti Connect Secure, эта дыра не эксплуатировалась на момент обнаружения.

Достаточно типичная, но все равно интересная история: исследователь подробно описывает проблему с легко подбираемыми паролями в роутерах одного интернет-провайдера в Венгрии.

Разработчики менеджера паролей Lastpass на прошлой неделе предупреждали пользователей о наличии поддельного приложения Lastpass в магазине для устройств Apple App Store. Приложение было оперативно удалено, но не очень понятно, как оно вообще прошло обязательный набор проверок Apple.
fortinet
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас